Хакаем почту

  • Автор темы cracker92
  • Дата начала
  • Просмотров 2660 Просмотров

cracker92

Местный
372
128
22 Июн 2019
Майл, Яндекс, Рамблер, Gmail, неважно. Этот способ универсален и применим ко всем сервисам. Ведь почта, нынче - это буквально ключ от всего. Имея доступ к e-mail’у можно восстановить пароли от соц. сетей, слить личную переписку и даже получить доступ ко всем контактам из телефонной книги.

Запускаем графическую оболочку скрипта hydra. Это многофункциональный брутфорсер паролей, с помощью которого мы сейчас попробуем подобрать pass для одного из моих тестовых ящиков на mail.ru

6b5f6ed8a856eea753377.png

В появившемся окне, на вкладке «Target» прописываем в строке «Single Target» адрес smtp-сервера исходящей почты нужного сервиса. Порт 465 и протокол выбираем соответственно SMTP. Ставим галочку использовать SSL-соединение. И отмечаем пункт, отвечающий за отображение результатов брутфорса в реальном времени.

ac9f90cd86dadaa9221be.png

В соседней вкладочке «Password» указываем ящик, на который будет производиться атака. В пункте Password листа указываем путь к словарю. Найти их довольно просто, в том же гугле, всего лишь стоит набрать словари для брута. На всякий случай ещё ставим галочку отвечающую за проверку логина в качестве возможного пароля и идём дальше.

1968fc3482067983a2fee.png

В «Tuning» меняем метод на HTTP.

edf104892ec701fa0dbe5.png

Во вкладке «Specific» пишем полной адрес почтового сервиса где расположен наш ящик.

d02a58aa14e7ca9b3228f.png

Долгожданная последняя вкладка. Выдыхаем, и жмём на «Start». Перебор начался. В случае успешной попытки логина, прога выдаст соответствующее сообщение, говорящее о том, что валидный пароль к данной почте подобран.

a4099020cf957e5941407.png

Взлом занял около 6 минут. Примерно столько по времени брутятся все ящики, пароль от которых состоит из даты рождения, клички пса или номера мобильного телефона.

А теперь задумайтесь, чтобы было, получив хакер доступ к вашей почте? Он ведь даже не спалится. Сливал бы по тихой грусти на внешний винт рабочие переписки. Договора, контракты, личные фотографии.

Затем продал бы эту историю в даркнете, а человек при этом так бы и не допёр, где таилась утечка. Поэтому, мой вам совет. Всегда устанавливайте на рабочий и личный ящики мега-большой и сложный пароль.

В идеале - сконфигурированный с помощью генератора случайных символов. И не забывайте менять его раз в 2-3 недели.
Установите двухфакторную аутентификацию, чтобы заходить в ящик только после подтверждения на личном смартфоне.